0

我一直潜伏在这里,但最后我有一个问题我真的无法回答或在任何地方在线找到。我发现人们在下载 .pfx 文件时遇到问题,但这里不是这种情况。

我正在尝试在 Azure 的应用程序网关中更新应用服务证书,以便我的 SSL 继续工作。问题是这样的:

  • 起初我遇到了权限问题,但现在我可以使用Microsoft 提供的链接毫无问题地下载 .pfx 文件
  • 证书已在 Azure 中设置为自动续订(Azure 表示有效期至 20 年 10 月;这是正确的,它刚刚续订并颁发)
  • 然而,下载后......我注意到证书中的日期仍然设置在 19 年 10 月。
  • 到目前为止,我不知道为什么这种方法去年确实有效......我只是想下载新的 .pfx 并将其上传到我的应用程序网关。

我尝试通过 Powershell、Azure CLI、Old Azure CLI 下载它。可惜...

** 编辑:** 我无法让它工作,并为同一个通配符域创建了一个全新的证书。而且 - 令人惊讶,令人惊讶 - 现在 Azure 确实在密钥保管库中创建了新的机密以与此证书一起使用。问题仍然存在......当现有证书自动更新时,为什么不这样做???

这可能又是简单的事情,但我看不到它。你们中有人知道如何解决这个问题吗?

谢谢!

添加了一些证据:

截图:证书数据

屏幕截图:密钥保管库秘密日期

记录脚本:

# Script for exporting pfx certificate from the Azure Cloud
#
# Type the following commands in PowerShell console to execute the script:
#   > Powershell –ExecutionPolicy Bypass
#   > .\copyasc.ps1
#

param (
    [string]$appServiceCertificateName = "Cert_name",
    [string]$azureLoginEmailId = "username@contoso.com"
)

$resourceGroupName = "RG_name"
$subscriptionId = "sub_id"
$exportFileName = "$appServiceCertificateName.pfx"

Login-AzureRmAccount
Set-AzureRmContext -SubscriptionId $subscriptionId

$ascResource = Get-AzureRmResource -ResourceName $appServiceCertificateName -ResourceGroupName $resourceGroupName -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -ApiVersion "2015-08-01"
$keyVaultId = ""
$keyVaultSecretName = ""

$certificateProperties=Get-Member -InputObject $ascResource.Properties.certificates[0] -MemberType NoteProperty
$certificateName = $certificateProperties[0].Name
$keyVaultId = $ascResource.Properties.certificates[0].$certificateName.KeyVaultId
$keyVaultSecretName = $ascResource.Properties.certificates[0].$certificateName.KeyVaultSecretName

$keyVaultIdParts = $keyVaultId.Split("/")
$keyVaultName = $keyVaultIdParts[$keyVaultIdParts.Length - 1]
$keyVaultResourceGroupName = $keyVaultIdParts[$keyVaultIdParts.Length - 5]
Set-AzureRmKeyVaultAccessPolicy -ResourceGroupName $keyVaultResourceGroupName -VaultName $keyVaultName -UserPrincipalName $azureLoginEmailId -PermissionsToSecrets get
$secret = Get-AzureKeyVaultSecret -VaultName $keyVaultName -Name $keyVaultSecretName
$pfxCertObject=New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 -ArgumentList @([Convert]::FromBase64String($secret.SecretValueText),"", [System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pfxPassword = -join ((65..90) + (97..122) + (48..57) | Get-Random -Count 50 | % {[char]$_})
$currentDirectory = (Get-Location -PSProvider FileSystem).ProviderPath
[Environment]::CurrentDirectory = (Get-Location -PSProvider FileSystem).ProviderPath
New-Item $currentDirectory\$exportFileName -ItemType file
[io.file]::WriteAllBytes(".\$exportFileName", $pfxCertObject.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pkcs12, $pfxPassword))
Write-Host "Created an App Service Certificate copy at: $currentDirectory\$exportFileName"
Write-Warning "For security reasons, do not store the PFX password. Use it directly from the console as required."
Write-Host "PFX password: $pfxPassword"
4

2 回答 2

0

根据我的测试,如果更新密钥,将会有多个版本的密钥。

在此处输入图像描述

  1. 您能否再次检查当前版本的到期日期是否正确?

  2. 在 PowerShell 中,您可以检查版本是否正确:

$secret = Get-AzureKeyVaultSecret -VaultName $keyVaultName -Name $keyVaultSecretName
$secret.Version
$secret.Expires

如果以上两个都正确,那么导出的 pfx 也应该是正确的。如果没有,您可以删除现有的 pfx 文件并重试。

于 2019-10-03T07:22:36.403 回答
0

好吧...经过一些实验,我终于找到了解决方案。看来 Azure 本身没有足够的权限,这就是我解决它的方法:

  1. 创建一个新的应用服务证书并进行配置。
  2. 配置后,Azure 似乎通过添加两个以前不存在的应用程序对 Azure Key Vault 中的“访问策略”进行了一些调整。这些应用程序有一些“秘密权限”请参阅此屏幕截图以了解应用程序名称
  3. 当我去检查我的其他证书时,它们也得到了更新,我可以使用正确的秘密再次下载 .pfx(使用我原始问题中的脚本)。(请注意,您还需要授予您自己的帐户权限才能“获取”访问策略中的 .pfx 文件。)

这使我认为在密钥保管库访问策略中手动添加两个实体(应用程序)可能就足够了,但解决方法是创建一个新的应用服务证书并在之后删除(或使用)它。

于 2019-10-04T13:29:16.793 回答